Siguria kibernetike është kthyer në kryefjalë të qeverisë shqiptare, e cila ka miratuar tashmë edhe zyrtarisht ligjin për ‘Sigurinë kibernetike”. Objektivi i tij është përcaktimi i të drejtave dhe detyrimeve të subjekteve publike dhe private, të cilat administrojnë infrastruktura të informacionit, rrjetet e komunikimit dhe sistemet e tyre, cenimi apo shkatërrimi i të cilave do të kishte impakt në shëndetin, sigurinë, mirëqenien ekonomike të qytetarëve dhe funksionimin efektiv të ekonomisë në vendin tonë.
Pas sulmit masiv kompjuterik nga Irani ndaj qeverisë shqiptare dhe shërbimeve online në Shqipëri, për vendin tonë siguria kibernetike u bë një nga përparësitë kryesore të qeverisë, Parlamentit, shërbimeve intiligjente, aktorëve të ndryshëm ndërkombëtarë, NATO-s etj.
Qëllimi i këtij ligji është përcaktimi i masave të sigurisë me qëllim arritjen e një niveli të lartë të sigurisë kibernetike për rrjetet dhe sistemet e informacionit në Shqipëri.
Strategjia Kombëtare për Sigurinë Kibernetike
Autoriteti është institucioni përgjegjës për hartimin dhe monitorimin e zbatimit të Strategjisë Kombëtare për Sigurinë Kibernetike, i cili koordinon punën me institucionet e tjera përgjegjëse për sigurinë kibernetike.
Në Strategjinë Kombëtare të Sigurisë Kibernetike përcaktohen objektivat dhe prioritetet e strategjisë së sigurisë kibernetike, kuadri ligjor për të arritur objektivat dhe prioritetet, kuadri ligjor, që përcakton rolet dhe përgjegjësitë e aktorëve përkatës në nivel kombëtar, duke mbështetur bashkëpunimin dhe koordinimin në nivel kombëtar ndërmjet autoriteteve kompetente, pikën e vetme të kontaktit dhe CSIRT-eve, sipas këtij ligji, si dhe koordinimin e bashkëpunimin ndërkombëtar.
Autoriteti përgjegjës për sigurinë kibernetike merret edhe me programet e trajnimit, ndërgjegjësimit dhe edukimit, masat që sigurojnë gatishmërinë, reagimin dhe rikuperimin nga incidentet, duke përfshirë bashkëpunimin ndërmjet sektorit publik e privat, harton një plan të identifikimit të aseteve lidhur me sigurinë kibernetike dhe vlerësimin e rrezikut të sigurisë kibernetike.
“Strategjia përmban në veçanti politikat e mëposhtme: a) adresimin e sigurisë kibernetike në zinxhirin e furnizimit për produktet TIK dhe shërbimet TIK që përdoren nga subjektet për ofrimin e shërbimeve të tyre; b) menaxhimin e vulnerabiliteteve, duke përfshirë promovimin dhe koordinimin për zbulimin e vulnerabiliteteve; c) promovimin e zhvillimit dhe të integrimit të teknologjive të avancuara, që synojnë zbatimin e masave moderne të menaxhimit të riskut të sigurisë kibernetike; ç) promovimin dhe zhvillimin e trajnimeve për sigurinë kibernetike, edukimin, aftësitë në sigurinë kibernetike, ndërgjegjësimin, nisma për kërkim dhe zhvillim, si dhe udhëzime për praktikat dhe kontrollet më të mira të higjienës kibernetike, për qytetarët, palët e interesuara dhe subjektet e këtij ligji; d) mbështetjen e institucioneve akademike dhe kërkimore për të zhvilluar, përmirësuar dhe promovuar mjetet e sigurisë kibernetike dhe infrastrukturës së rrjetit; dh) promovimin e mbrojtjes aktive kibernetike.”, thuhet në ligj.
Strategjia Kombëtare e Sigurisë Kibernetike hartohet për një periudhë 5-vjeçare dhe miratohet me vendim të Këshillit të Ministrave.
Strategjia shoqërohet nga plani i veprimit, i cili hartohet nga Autoriteti në koordinim me institucionet përgjegjëse të sigurisë kibernetike, për një periudhë të paktën dyvjeçare dhe miratohet me vendim të qeverisë.
Sanksionet administrative
Kur Autoriteti konstaton shkeljen e dispozitave, të cilat përbëjnë kundërvajtje administrative, vendos dënimin me gjobë si më poshtë: a) nga 1 000 000 deri në 10 000 000 lekë në rast të shkeljeve administrative si mos-raportimi pranë CSIRT-it Kombëtar dhe CSIRT-it sektorial të incidentit të sigurisë kibernetike të ndodhur në infrastruktura si dhe mos-përmbushjen e detyrimeve nga ana e operatorëve.
Nga 200 000 deri në 400 000 lekë në rast të shkeljeve administrative si mos-raportimi i saktë i infrastrukturave të informacionit gjatë procesit të identifikimit, mos-raportimi pranë Autoritetit të pikës së kontaktit apo i përditësimeve të tyre, mos-përmbushja e detyrimeve të caktuara nga Autoriteti.
Nga 400 000 lekë deri në 1 000 000 lekë në rast të shkeljeve administrative si mos-përmbushja e detyrimeve nga ana e operatorëve.
Nga 2 000 000 lekë deri në 5 000 000 lekë në rast të shkeljeve administrative si mos-përmbushja e detyrimeve.
Metodologjia për përcaktimin e masës së dënimit administrativ gjobë përcaktohet me urdhër të drejtorit të përgjithshëm të Autoritetit dhe të ardhurat e siguruara nga kundërvajtjet administrative derdhen 100 për qind në buxhetin e shtetit.
Subjektet e tjera përgjegjëse për sigurinë kibernetike
Subjekte të tjera përgjegjëse për sigurinë e rrjeteve dhe sistemeve të informacionit në Shqipëri, sipas ligjit, janë ministria përgjegjëse për transportin, telekomunikacionin dhe shërbimin postar, për rendin dhe sigurinë publike, e Financave, ajo për Ekonominë, e kujdesit shëndetësor, mjedisin, turizmin, mbrojtjen e territorit dhe funksione të tjera të lidhura me të, e bujqësisë dhe funksioneve të tjera të lidhura me të, Agjencia Kombëtare e Shoqërisë së Informacionit (AKSHI), Policia e Shtetit, institucioni përgjegjës për ruajtjen e rendit e të sigurisë publike, Autoriteti i Komunikimeve Elektronike dhe Postare (AKEP), si dhe çdo institucion tjetër publik i pavarur që administron infrastruktura të informacionit në kuptim të këtij ligji.
Masat e sigurisë kibernetike
Operatorët e infrastrukturës kritike dhe të rëndësishme të informacionit janë të detyruar të zbatojnë masat e sigurisë, si dhe të dokumentojnë zbatimin e tyre sipas përcaktimeve të bëra në këtë ligj.
Operatorët e infrastrukturës kritike dhe të rëndësishme të informacionit, me qëllim garantimin e vazhdimësisë së shërbimeve, përshtatin masa të përshtatshme dhe proporcionale për të arritur një nivel të lartë të sigurisë kibernetike në infrastrukturat e tyre.
“Masat e sigurisë kibernetike klasifikohen në masa organizative, masa teknike dhe masa operacionale për menaxhimin e riskut dhe përditësohen nga Autoriteti duke marrë në konsideratë zhvillimet e fundit teknologjike. Masat e sigurisë kibernetike kanë për qëllim parandalimin dhe minimizimin e efektit të incidentit në sigurinë e rrjeteve dhe të sistemeve të informacionit.”, thuhet në ligj.
Subjektet, të cilat operojnë në sektorët sipas anekseve të këtij ligji, por që nuk janë ende pjesë e listës së infrastrukturave të informacionit, mund të aplikojnë apriori të gjitha masat e sigurisë kibernetike sipas përcaktimeve të bëra në këtë ligj.
Bashkëpunimi në nivel kombëtar
Autoriteti koordinon veprimtarinë e tij me institucionet e sigurisë dhe të mbrojtjes, si dhe bashkëpunon me subjektet e tjera përgjegjëse për sigurinë kibernetike sipas përcaktimeve të bëra në këtë ligj.
CSIRT-et pranë operatorëve, CSIRT-et sektoriale kanë detyrimin për të bashkëpunuar në çdo kohë me CSIRT-in Kombëtar dhe Autoritetin, në përmbushje të detyrimeve dhe përgjegjësive që rrjedhin nga ky ligj.
Autoriteti bashkëpunon me Policinë e Shtetit dhe institucionet përkatëse në rastet kur nga informacioni i siguruar për efekt të këtij ligji dyshon për elemente të krimit kibernetik ose veprave të tjera penale të lidhura me to, bashkëpunon me institucionin përgjegjës për sigurinë e informacionit të klasifikuar në rastet kur merr dijeni për kërcënime të mundshme në rrjetet e klasifikuara, të infrastrukturave të informacionit, objekt i këtij ligji, bashkëpunon me institucionin përgjegjës për komunikimet elektronike dhe postare, AKEP-in, për sigurinë e rrjeteve dhe shërbimeve të komunikimeve elektronike, si dhe për mbylljen e faqeve me përmbajtje të paligjshme dhe IP-eve, që gjenerojnë sulme, malëare.
Gjithashtu, Autoriteti bashkëpunon me Autoritetin Kombëtar për Mbrojtjen e të Dhënave Personale në rastet kur trajtohen incidente në infrastrukturat e informacionit, të cilat rezultojnë në përhapje të paligjshme të të dhënave personale.
Bashkëpunimi ndërkombëtar
Autoriteti përgjegjës për sigurinë kibernetike bashkëpunon edhe me organizmat ndërkombëtarë në fushën e sigurisë kibernetike dhe autoritetet kombëtare të vendeve të tjera nëpërmjet marrëveshjeve të përbashkëta në përputhje me legjislacionin në fuqi për marrëveshjet ndërkombëtare.
Në kuadër të përmbushjes së angazhimeve, në terma të sigurisë kibernetike, si vend anëtar i Aleancës Euro-Atlantike (NATO) dhe Organizatës për Sigurimin dhe Bashkëpunimin në Evropë (OSBE), Autoriteti koordinon dhe bashkërendon punën midis këtyre organizmave dhe institucioneve kombëtare.
/rtsh.al/
